iT邦幫忙

14.2%企業願意聘用大資料人才
Cloud Future Built Today
IT EXPLAINED 數位轉型攻略 VII
1

手機APP打卡抓到AP的MAC與實際MAC不同

mac
好熊寶 2025-01-09 11:38:552561 瀏覽

  • 分享至 

  • xImage

公司最近有導入鼎X手機打卡APP,是指定WiFi與AP設備的MAC來打卡的。
目前測試發現於Fortigate防火牆上面的AP MAC與在手機上面看到的AP MAC 兩個不一致,造成打卡失敗。
防火牆設定SSID管理:DHCP啟用 / 設備偵測 / 廣播SSID / 廣播抑制 / 隔離主機 有開啟。
其他都是關閉的,請問是否有設定要關閉或打開?

看更多先前的討論...收起先前的討論...
望空 iT邦研究生 5 級 ‧ 2025-01-09 11:49:46 檢舉
手機有沒有設定MAC隱藏?
h3786010 iT邦新手 5 級 ‧ 2025-01-09 11:57:27 檢舉
誤解已刪
ming9900 iT邦新手 3 級 ‧ 2025-01-09 13:08:58 檢舉
板主原文:
目前測試發現於Fortigate防火牆上面的AP MAC與在手機上面看到的AP MAC 兩個不一致,造成打卡失敗。

AP的 MAC 不该會變。
打卡失敗的原因,是 AP MAC 變了?
還是如 h3786010 大大所言,是Client 手機的MAC 變了?
窮嘶發發發 iT邦高手 1 級 ‧ 2025-01-10 10:04:13 檢舉
個人認知,MAC位置無法跨路由器傳遞,也就是廣播封包只能在同一各LAN傳播
因此假如AP的WLAN 跟 LAN 不是同一個LAN,那麼他的MAC 是無法在兩個LAN互相傳遞
如果限定只能內部LAN打卡,請讓AP採用橋接模式,關閉DHCP,或是看AP怎麼設定讓ARP 協定可以透通
好熊寶 iT邦新手 3 級 ‧ 2025-01-10 12:04:04 檢舉
以下統一回覆:
問題是針對FG上面的AP MAC 與 手機APP看到的AP MAC 不同(不是手機MAC)
確實WLAN與LAN確實是不同網段.. 我是設定訪客用網路去打卡的
尼克 iT邦大師 1 級 ‧ 2025-01-10 13:11:16 檢舉
我是不開放手機打卡,沒辦法控制及資安問題
窮嘶發發發 iT邦高手 1 級 ‧ 2025-01-10 14:22:00 檢舉
好奇 手機怎麼用 LAN 去打卡,上 TYPE C 網卡 ? 不走 WLAN ?
一台AP 有幾個 NIC 就有幾個 MAC 位址,有幾個SSID 也對映幾個 MAC 位址
FG 跟 AP 連接透過LAN,對 FG 來說 AP 的MAC 就是那個 LAN 口的 MAC,當然後面因為連階層的通訊,FG會學習到 AP 其他 LAN 口的 MAC,對 FG 來說 其他的 LAN 口過來的其他封包都是不同的路徑,可以做不同的原則管控,WLAN 也是一樣的不然幹嘛裝 FG 呢 ?
好熊寶 iT邦新手 3 級 ‧ 2025-01-10 15:27:26 檢舉
目前是使用WLAN打卡。但算是受限於系統功能,像打卡APP有跟HR整合,我就要提供廠內AP每台的MAC給人資做新增,但這幾台都是唯一一個SSID。
AP是FAP231F
好熊寶 iT邦新手 3 級 ‧ 2025-01-10 15:30:53 檢舉
ming9900 iT邦新手 3 級 ‧ 2025-01-10 22:22:22 檢舉
你的打卡系統限制 AP 的MAC?很怪的限制。

然後AP 的MAC ,在打卡系統和在手機上看到的不同?
這也怪。是因為有跨網段,被L3 換了MAC Address?

要不要抓封包分析一下?
搞不好只是跨網段,所以打卡系統都看到L3 gateway 的MAC address.
mytiny iT邦超人 1 級 ‧ 2025-01-11 18:45:54 檢舉
樓主對Forti無線網路及設備辨識不熟
還是乖乖付錢找SI來解決比較好
登入發表討論
.

2 個回答

0
mytiny
iT邦超人 1 級 ‧ 2025-01-09 12:49:23

看一下手機上wifi使用的是
隨機mac還是設備mac
FGT上的設備辨識政策
一定要正確的mac才有用
防火牆政策IP與Mac不可共用
----01/11-------
只要手機無線網卡MAC固定
經FAP-231F丟給FGT來做辨識MAC就可固定
如果不熟架構及運作,
乖乖付錢找SI來解決

看更多先前的回應...收起先前的回應...
窮嘶發發發 iT邦高手 1 級 ‧ 2025-01-10 14:58:52 檢舉

AP 的每一個 PORT MAC 都不一樣啊,上照片,WLAN 跟 LAN 也不一樣的
樓主單純這麼接,這麼綁一定不行的
https://ithelp.ithome.com.tw/upload/images/20250110/20097082NSxDH5DaJb.png

窮嘶發發發 iT邦高手 1 級 ‧ 2025-01-10 15:04:30 檢舉

這是另外一台的
https://ithelp.ithome.com.tw/upload/images/20250110/20097082zK4zEfMi5A.png

好熊寶 iT邦新手 3 級 ‧ 2025-01-13 08:54:53 檢舉

整體蠻像是發大說的狀況,要再另外針對WLAN的 MAC加入清單作設定。

mytiny iT邦超人 1 級 ‧ 2025-01-13 12:58:37 檢舉

如果不熟架構及運作,
一定弄不清楚FGT設備辨識原理和架構
建議付錢找SI來解決
FAP231F的SSID有用tunnel嗎?
找到的是什麼?如何找到?
手機上怎麼會有WLAN?

好熊寶 iT邦新手 3 級 ‧ 2025-01-14 09:58:48 檢舉

感謝回覆!
比較尷尬的點,兩個系統是不同廠商的兩邊互踢,要自己設定解決。
大概知道問題在哪裡,防火牆上面看不到WLAN派的MAC正常,我只看到LAN。
SSID是設定tunnel WPA-個人。但因為是訪客網路,與AP自身的網段不同。
以我的認知:WLAN廣義上有包含WiFi,所以手機是有用到的。如果有誤歡迎糾正。
目前針對我的問題,會再問看看SI那個AP有沒有上面的管理介面可以看,現在看起來FAP231F沒有類似上面發大截圖的介面可以看。要用那個APP就只能抓WLAN的MAC。

mytiny iT邦超人 1 級 ‧ 2025-01-16 10:00:19 檢舉

FAP-231F一定是被Fortigate納管的呀
連到SSID上的client是一定可以看的到MAC的呀
在防火牆上就可以看到一切資訊,這是最基本的

建議購買設備時先問清楚SI處理的能力
千萬不要以為比價錢低有買到設備就好
現在處理花費那麼多天
連一個基本的架構都搞不定
回頭算起來金錢與時間
不知浪費有多少

登入發表回應
4
林門神JanusLin
iT邦超人 1 級 ‧ 2025-01-09 14:05:13

https://ithelp.ithome.com.tw/upload/images/20250109/200014166SkZSEuv5i.jpg

https://ithelp.ithome.com.tw/upload/images/20250109/20001416EELzi7LWUu.jpg

https://ithelp.ithome.com.tw/upload/images/20250109/20001416imdrPHkfCs.png

手機電腦都要設定固定式的 MAC Address

好熊寶 iT邦新手 3 級 ‧ 2025-01-10 12:00:31 檢舉

謝謝門神大,但問題是針對AP的MAC不同。而且也不能要求每位使用者去改這個..

林門神JanusLin iT邦超人 1 級 ‧ 2025-01-11 20:25:37 檢舉

以管理面來說
我們是改用這方式去追蹤紀錄 USER syslog

https://www.ublink.org/index.php/service/tech-know/vigor-tech/user-wifi-login

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22211
完賽人數
600
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
.
熱門回答
熱門文章